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声明 


此 书 电子 版 免费 供 大 家 下 载 阅 读 ， 如 果 您 已 为 此 副本 付费 ， 请 立即 申请 退 款 并 联系 

作者 举报 此 行为 。 请 注意 ， 虽 然 此 书 电 子 版 免费 供 大 家 阅读 ， 但 这 并 不 代表 作者 放 

弃 了 版 权 ， 您 在 未 经 授权 的 情况 下 依然 不 得 以 任何 方式 复制 或 抄袭 本 书 内 容 。 此 书 

的 电子 版 目前 仅 授权 图 灵 社 区 和 gitbook.com 两 个 平台 发 布 ， 如 果 您 通过 其 他 渠道 获 
取 到 了 此 副本 ， 则 是 侵权 行为 ， 请 到 上 述 两 个 平台 下 载 合 法 授权 的 副本 。 获 取 合 法 

授权 副本 的 好 处 是 可 以 及 时 得 到 此 书 的 最 新 版 本 ， 早 期 版 本 中 的 错误 会 被 及 时 纠 

正 。 感 谢 您 对 版 权 保护 工作 所 做 出 的 贡献 。 


作者 邮箱 :shijingjing02@163.com 


作者 Github: https://github.com/shijingjing1221/ 
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什么 是 Ansible? 


Ansilbe 是 一 个 部 署 一 群 远程 主机 的 工具 。 远 程 的 主机 可 以 是 本 地 或 者 远程 的 虚拟 
机 ， 也 可 以 是 远程 的 物理 机 。 


Ansible 能 做 什么 ? 

Ansilbe 通 过 SSH 协 议 进 行 管理 节点 和 远程 节点 之 间 的 通信 。 理 论 上 说 管理 员 通 过 
ssh 到 一 台 远 程 主机 上 能 做 的 操作 Ansible 都 可 以 做 。 

包括 : 


e. 拷贝 文件 


E 


e 安装 包 
e 起 服务 
€ ... 


快速 定位 本 书 
Google "Ansible 入 门 "或 访问 网 站 Ansible 入门 http://getansible.com/ 
本 文 的 所 有 ansible playbook 例 子 都 放 在 github 上 ,欢迎 补充 和 纠 错 : 


https://github.com/ansible-book/ansible-first-book-examples 


也 可 以 联系 作者 进行 纠正 错误 : shijingjing02@163.com 


Ansible 的 架构 


Ansilbe 管 理 员 节 点 和 远程 主机 节点 通过 ssh 协 议 进行 通信 。 所 以 Ansible 配 置 的 时 候 
只 需要 保证 从 Ansible 管 理 节 点 通过 SSH 能 够 连接 到 被 管理 的 远程 的 远程 节点 即 可 ， 
当然 需要 建立 的 ssh， 是 基于 key 的 ， 不 能 要 求 输入 密码 ， 下 一 章 会 讲 到 具体 的 配置 
方法 。 


连接 方式 SSH 


在 管理 员 节 点 安装 Ansible， 编 写 脚本 。 在 管理 节点 执行 命 
连接 被 管理 的 主机 。 被 管理 的 远程 节点 不 需要 进行 特殊 安 


& cael x SSH 
装 软 


o 


How Ansible Works ... 








? — a e 
只 需要 Ansible 节 点 可 以 通过 SSH 连 接 到 主机 即 可 


Client connects to Server via SSH 
(no special agent required !!) 
ansible 执 行 命令 、 脚 本 的 时 候 会 通过 5SH 连 接 远程 主机 








主机 目录 
webl.host.com 
db1.host.com 
192.168.1.10 






Playbook 
(Ansible 脚 本 语言 ) 






支持 多 种 类 型 的 主机 


Ansible 可 以 同时 管理 Redhat 系 的 Linux，Debian 系 的 Linux， 以 及 Windows 主 机 。 
管理 节点 只 在 执行 脚本 时 与 远程 主机 连接 ， 没 有 特别 的 同步 机 制 ， 所 以 发 生 断 电 等 
异常 一 般 不 会 影响 ansbile。 


How Ansible works ~.. 


Redhat Linux 





RedHat Linux 





SSH 


SSH 


Debian Linux 


Ansible 管 理 节点 











ansible 执 行 命令 、 脚 本 的 时 候 会 通过 SSH 连 接 远程 主机 


入 SH 
i Windows 
SSH 


Playbook 
(Ansible 脚 本 语言 





主机 目录 
webl.host.com 
db1.host.com 
192.168.1.10 








Ansible Tower 的 架构 


为 什么 要 有 Ansbile Tower 


Ansilbe Tower 一 款 针 对 企业 级 的 收费 软件 。 


在 上 一 节 的 Ansible 架 构 中 和 下 一 章 Ansbile 的 安装 中 会 讲 到 ， 每 一 台 被 ansible 远 程 
管理 的 主机 ， 都 需要 配置 基于 key 的 ssh 连 接 。 个 人 用 户 自 己 管理 几 台 虚拟 机 和 远程 
主机 不 会 有 什么 问题 ， 但 是 作为 企业 级 也 用 户 ， 则 满足 不 了 业务 和 安全 上 的 需求 。 


e 首先 ， 每 增加 一 台 主 机 ， 都 需要 手工 配置 一 下 ssh 连 接 ， 企 业 级 的 pc 主机 成 百 
上 千 ， 每 个 管理 员 都 需要 在 自己 的 电脑 上 配置 所 有 的 ssh 连 接 ， 无 疑 工作 量 扎 
大 o 


。 还 有 ， 在 安全 方面 如 果 管 理 员 能 够 拿 到 ssh key， 或 者 拷贝 给 别人 ， 对 于 生产 环 
境 来 说 无 疑 是 最 大 的 安全 隐患 。 


Ansible Tower 能 做 什么 
Ansile Tower 则 是 针对 解决 企业 级 用 户 需 求 的 ，ansible tower 是 中 心 化 ansible 管 理 
节点 ， 它 向 管理 员 提供 网 站 页 面 作为 接口 ， 来 运行 ansible 脚 本 playbook 。 


e 管理 员 在 ansible tower 上 使 用 和 分 享 主 机 的 ssh key， 但 是 不 能 查看 和 拷贝 key 
文件 。 


e ansible 网 站 所 有 人 可 以 共享 playbook 脚 本 ， 减 少 重复 工作 。 


e 此 外 ansible 还 可 以 收集 和 展现 所 有 主机 的 playbook 的 执行 状况 ， 便 于 统计 和 分 
析 主 机 的 状态 。 


说 了 这 么 多 ， 看 下 面 这 张 架构 图 就 清晰 了 : 
















http/https 


Ansible Tower 网 站 
提供 的 权限 管理 ; 
Playbook 运 行 分 享 机 制 ; 


Playbook 运 行 状态 统计 ; 
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ssh 


Ansible Tower 


http/https API 


主机 目录 
[group1] 
webl 
web2 
web3 
[group2] 
dbi 
db2 












http/https 网 页 ( Ansible 管 理 节点 ) 
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Playbooks 


所 有 人 的 所 有 


Playbook 脚 本 





Ansible 上 手 


怎么 使 用 Ansible， 本 章 通过 简单 的 例子 还 说 明 Ansilbe 上 手 的 基本 步骤 。 


. 安装 Ansible 

.Ansible 管 理 哪些 主机 (主机 目录 管理 ) 

.使 用 Ansilbe 命 令 行 管理 主机 (Ad-hoc command) 

.使 用 Ansilbe 脚 本 语言 管理 主机 (脚本 语言 Playbook ) 
. Ansible 的 “命令 ”Module 


a A O N > 


安装 Ansile 


这 里 以 RedHat 系 Linux 为 例 ， 其 他 系统 请 参考 ansible 的 官网 


管理 员 的 电脑 上 
e 安装 Ansible 软 件 


$ # Redhat/CentOS Linux 上 ，Ansible 目 前 放 在 的 epel 源 中 
$ # Fedora 默 认 源 中 包含 ansible， 直 接 安装 包 既 可 

$ sudo yum install epel-release 

$ sudo yum install ansible -y 


e 配置 Ansible 管 理 节点 和 主机 的 连接 


其 实 就 是 配置 从 管理 节点 到 远程 主机 之 间 基 于 key (无 密码 的 方式 ) 的 SSH 连 接 : 


$ # 生成 ssh key 

$ ssh-keygen 

$ # 拷贝 ssh key 到 远程 主机 ，ssh 的 时 候 就 不 需要 输入 密码 了 

$ ssh-copy-id remoteuser@remoteserver 

$ # Ssh 的 时 候 不 会 提示 是 否 保存 key 

$ ssh-keyscan remote servers >> -/.ssh/known hosts 


验证 下 有 没有 装 好 : 在 管理 节点 执行 下 面 的 Ssh 命 令 ， 既 不 需要 输入 密码 ， 也 不 会 提 
醒 你 存储 key， 那 就 成 功 啦 。 


$ ssh remoteuser@remoteserver 


不 需要 安装 特殊 的 包 ， 只 需要 python>2.4，RedHat Linux 一 般 安 装 方式 都 自 带 。 


Ansile 


A 


ALK 
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Ansible 的 Host Inventory 


什么 是 Host Inventory ( 主机 目录 、 主 机 清 
a) 2 


Host Inventory 是 配置 文件 ， 用 来 告诉 Ansible 需 要 管理 哪些 主机 。 并 且 把 这 些 主机 
根据 按 需 分 类 。 


可 以 根据 用 途 分 类 : 数据 库 节 点 ， 服 务 节点 等 ; 根据 地 点 分 类 : 中 部 ， 西 部 机 房 。 


Host Inventory 配置 文件 : 


默认 的 文件 是 : VetcVansibleVhosts 


可 以 修改 为 其 它 的 文件 ， 下 一 章 Ansible 进 阶 中 介绍 。 
例子 
最 简单 的 hosts 文 件 : 


192.168.1.50 
aserver.example.org 
bserver.example.org 


带 分 类 的 hosts 文 件 : 


mail.example.com 


[webservers] 
foo.example.com 
bar.example.com 


[dbservers] 
one.example.com 
two.example.com 
three.example.com 


Ansible 用 命令 管理 主机 


Ansible 提 供 了 一 个 命令 行 工具 ， 在 官方 文档 中 起 给 命令 行 起 了 一 个 名 字 叫 Ad-Hoc 
Commands ° 


ansible 命 令 的 格式 是 : 


ansible <host-pattern> [options] 


ansible 命 令 功 能 有 哪些 

先 不 用 深 纠 命令 的 语法 , yt X;module7f 7 , 就 可 以 理解 语法 2 先 从 感官 上 2 通过 下 

面 的 命令 认识 下 ansible 的 命令 行 都 可 以 做 什么 

检查 ansible 安 装 环 境 

检查 所 有 的 server， 是 否 以 bruce 用 户 创建 了 ansible 主 机 可 以 访问 的 环境 。 
$ansible all -m ping -u bruce 

执行 命令 

在 所 有 的 server 上 ， 以 当前 bash 的 同名 用 户 ， 在 远程 主机 执行 “echo bash" 


$ansible all -a "/bin/echo hello" 


拷贝 文件 
拷贝 文件 /etc/host 到 远程 机 器 (组) atlanta， 位 置 为 Himp/hosts 
$ ansible web -m copy -a "src=/etc/hosts dest=/tmp/hosts" 


安装 


(3 


ne Ag 


远程 机 器 (组) webserversX X yum & 


$ ansible web -m yum -a "name=acme state=present" 


添加 用 户 


$ ansible all -m user -a "name=foo password=<crypted password 
here>" 


T Agit & 


$ ansible web -m git -a "repo-git://foo.example.org/repo.git 
dest-/srv/myapp version=HEAD" 


起 服务 

$ ansible web -m service -a "name=httpd state=started" 
并 行 执行 

启动 10 个 并 行进 行 执行 重 起 

$ansible lb -a "/sbin/reboot" -f 10 

查看 远程 主机 的 全 部 系统 信息 1 | | 


$ ansible all -m setup 


Ansible 用 脚本 管理 主机 


只 有 脚本 才 可 以 重用 ， 避 免 总 融 重 复 的 代码 。Ansible 脚 本 的 名 字 叫 Playbook， 使 用 
的 是 YAML 的 格式 ， 文 件 以 yml 结 尾 。 


注解 : YAML 和 JSON 类 似 ， 是 一 种 表示 数据 的 格式 。 


执行 脚本 playbook 的 方法 


$ansible-palybook deploy.yml 


playbook 的 例子 
deploy.yml 的 功能 为 web 主 机 部 署 apache, HP & 2 VAT BRA PR : 
1. 安装 apache 包 
2. 拷贝 nee ， 并 保证 拷贝 文件 后 ，apache 服 务 会 被 重启 ; 
3. 拷贝 默认 的 网 页 文件 index.html; 
4. 启动 apache 服 务 ; 


playbook deploy.yml 包 含 下 面 几 个 关键 字 ， 每 个 关键 字 的 含义 : 


e hosts : 为 主机 的 |P， 或 者 主机 组 名 ， 或 者 关键 字 all 

e remote user: 以 哪个 用 户 身份 执行 。 

e vars: 变量 

e tasks: playbook 的 核心 ， 定 义 顺序 执行 的 动作 action。 每 个 action 调 用 一 个 
ansbile module。 


e action 语法 : module: module parameter-module value 


e | 第 用 的 module 有 yum、copy、 > module 在 ansible 的 作用 ， 相 
当 于 bash 脚 本 中 yum ，copy 这 样 的 命令 。 下 一 节 会 介绍 。 


e handers : 是 playbook 的 event， 默 认 不 会 执行 ， 在 action 里 触发 才 会 执行 
次 触发 只 执行 一 次 。 


- hosts: web 

vars: 
http_port: 80 
max_clients: 200 

remote_user: root 

tasks: 

- name: ensure apache is at the latest version 
yum: pkg=httpd state=latest 


- name: Write the configuration file 
template: src=templates/httpd.conf.j2 dest=/etc/httpd/conf/h 
ttpd.conf 
notify: 
- restart apache 


- name: Write the default index.html file 
template: src-templates/index.html.j2 dest-/var/www/html/ind 
ex. html 


- name: ensure apache is running 
service: name=httpd state=started 
handlers: 
- name: restart apache 
service: name=httpd state=restarted 


不 懂 yml， 没 关系 ， 上 面 的 deploy.yml 格 式 转化 为 json 格 式 为 : 


[ 
{ 
"hosts": "web", 
AVANS ae A 
THEEDSDOn te oe, 
"max clients": 200 
ty 


"remote user": "root", 
tasks» E 


Ansible 用 脚本 管理 主机 


1 
"name": "ensure apache is at the latest version", 
"yum": "pkg-httpd state-latest" 

tr 

{ 


"name": "Write the configuration file", 
"template": "src=templates/httpd.conf.j2 dest=/etc/httpd 
Acon /MEECPANCONT 


otf 
"restart apache" 
] 
tr 
x 
"name": "Write the default index.html file", 


"template": "src-templates/index.html.j2 dest-/var/www/h 
tml/index.html" 


i 
{ 
"name": "ensure apache is running", 
"service": "name=httpd state=started" 
} 
], 
"handlers": [ 
t 
"name": "restart apache", 
"service": "name-httpd state-restarted" 
} 
] 


提供 json 和 yml 互 转 的 在 线 网 站 : http VVwww.json2yaml.comV 
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Play VS Playbook 


Playbook 是 指 一 个 可 被 ansible 执 行 的 yml 文 件 ， 一 般 的 结构 如 下 面 的 例子 所 示 : 


- hosts: web 
remote_user: root 
tasks: 
- name: ensure apache is at the latest version 
yum: pkg=httpd state=latest 


其 实在 一 个 Playbook 文 件 中 还 可 以 有 针对 两 组 server 进 行 不 同 的 操作 ， 例 如 给 web 
安装 http 服 务 器 ， 和 给 lb 安装 mysql 放 在 一 个 文件 中 : 


5 at 


#& Rapachet play 
- hosts: web 
remote_user: root 
tasks: 
- name: ensure apache is at the latest version 
yum: pkg=httpd state=latest 


# 安装 mysql server*#play 
- hosts: lb 
remote user: root 
tasks: 
- name: ensure mysqld is at the latest version 
yum: pkg=mariadb state-latest 


像 上 面 例子 中 针对 每 一 组 server 的 所 有 操作 就 组 成 一 个 play， 一 般 一 个 playbook 中 
只 包含 一 个 play， 所 以 不 用 太 在 意 区 分 playbook 与 play。 如 果 在 有 些 ansible 文 档 中 
提 到 play 的 概念 ， 你 知道 是 怎么 回 事 就 可 以 了 。 


Ansible 模 块 Module 


什么 是 Ansible Module ? 


audien 命令 行 上 执行 ， 还 是 bash 脚 本 中 ， 都 需要 调用 cd、ls、copy、yum 等 命 
; module 就 是 Ansible 的 “命令 "，module 是 ansible 命 令 行 和 脚本 中 都 需要 调用 
。 常用 的 Ansible module 有 yum、copy、template 等 。 


在 bash， 调 用 命令 时 可 以 跟 不 同 的 参数 ， 每 个 命令 的 参数 都 是 该 命令 自 定义 的 ; FF 
样 ，ansible 中 调用 module 也 可 以 跟 不 同 的 参数 ， 每 个 module 的 参数 也 都 是 由 
module 自 定义 的 。 


每 个 module 的 用 法 可 以 查阅 文 
74 © http://docs.ansible.com/ansible/modules_by_category.html 


Ansible 在 命令 行 里 使 用 Module 
在 命令 行 中 

-m 后 面 接 调用 module 的 名 字 

-a 后 面 接 调用 module 的 参数 


$ # 使 用 module copy 找 贝 管理 员 节 点 文件 /etc/hosts 到 所 有 远程 主机 /tmp/hosts 
$ ansible all -m copy -a "src=/etc/hosts dest=/tmp/hosts" 

$ # 使 用 module yum 在 远程 主机 web 上 安装 httpd 包 

$ ansible web -m yum -a "name=httpd state=present" 


Ansible 在 Playbook 脚 本 使 用 Module 


在 playbook 脚 本 中 ，tasks 中 的 每 一 个 action 都 是 对 module 的 一 次 调用 。 在 每 个 
action 中 : 


冒号 前 面 是 module 的 名 字 
冒号 后 面 是 调用 module 的 参数 


tasks: 

- name: ensure apache is at the latest version 
yum: pkg=httpd state-latest 

- name: write the apache config file 


template: src=templates/httpd.conf.j2 dest=/etc/httpd/conf/h 
ttpd.conf 


- name: ensure apache is running 
service: name=httpd state=started 


Module 的 特性 
e 像 Linux 中 的 命令 一 样 ，Ansible 的 Module 既 上 命令 行 调用 ， 也 可 以 用 在 Ansible 


的 脚本 Playbook 中 。 


e 每 个 Module 的 参数 和 状态 的 判断 ， 都 取决 于 该 module 的 具体 实现 ， 所 以 在 使 
用 他 们 之 前 都 需要 查阅 该 module 对 应 的 文档 。 


o 可 以 通过 文档 查看 具体 的 用 法 : 
http://docs.ansible.com/ansible/list_of_all_modules.html 


o 通过 命令 ansible-doc 也 可 以 查看 module 的 用 法 


e Ansible 提 供 一 些 常用 功能 的 Module， 同 时 Ansible 也 提供 API， 让 用 户 可 以 自 
己 写 Module， 使 用 的 编程 语言 是 Python。 


介绍 几 个 常用 的 module 


习 Linux 操 作 系 统 ， 如 果 不 能 一 些 基 本 的 命令 ， 那 么 站 的 没有 办 法 用 Linux。 所 以 
学 习 Ansible 也 非常 有 必要 了 解 一 些 常用 的 module。 


w w 


接 下 来 介绍 一 些 会 在 接 下 来 的 章节 中 用 到 的 module， 也 是 很 常用 的 module。 
调试 和 测试 类 的 module 


e ping - ping 一 下 你 的 远程 主机 ， 如 果 可 以 通过 ansible 成 功 连接 ， 那 么 返回 pong 


e debug - 用 于 调试 的 module， 只 是 简单 打印 一 些 消息 ， 有 点 像 linux 的 echo 命 
POE 


文件 类 的 module 


e Copy - 从 本 地 拷贝 文件 到 远程 节点 
e template - 从 本 地 拷贝 文件 到 远程 节点 ， 并 进行 变量 的 替换 
e file - 设置 文件 的 属性 


linux 上 常用 的 操作 


e user - 管理 用 户 账户 

e yum - red hat 系 linux 上 的 包 管 理 

e service - 管理 服务 

e firewalld - 管理 防火 墙 中 的 服务 和 端口 


执行 Shell 命 令 


e shell- 在 节 eas 支持 $HOME 和 "<", ">", "|", "5" and "&" 

e command - 在 远 节点 上 面 执行 命 令 ， XE BSHOMER"'« <" onn ale "=" and 
"&' 
ping 


这 个 就 最 常用 的 测试 一 个 节点 有 没有 配置 好 ssh 连 接 的 module。 不 过 它 可 不 是 简单 
像 linux 命 令 中 ping 一 下 远程 节点 ， 而 是 首先 检查 下 能 不 能 SSH 登 陆 ， 然 后 再 检查 下 
远程 节点 的 python 版 本 漫 不 满 足 要 求 ， 如 果 都 满足 则 会 返回 成 功 pong。 


ping 不 需要 传 入 任何 参数 。 因 为 ping 是 测试 节点 连接 是 不 是 通 的 ， 所 以 一 般 在 命令 
行 中 使 用 的 时 候 比 在 playbook 的 脚本 中 多 ， 下 面 是 ping 在 命令 行 中 的 用 法 : 


ansible servers -m ping 


debug 


打印 输出 信息 ， 和 linux 上 的 echo 命 令 很 像 


过 参数 msg 定 义 打 印 的 字符 串 


msg 中 可 以 占 入 变量 ,下 面 的 例子 中 注入 了 系统 变量 ，ansible 在 执行 playbook 之 前 会 
收集 一 些 比 较 常用 的 系统 变量 ， 你 在 playbook 中 不 需要 定义 直接 就 可 以 使 用 。 


- debug: 
msg: "System {{ inventory_hostname }} has gateway {{ ansible 
_default_ipv4.gateway }}" 


TASK [debug] wR RR ck ck ko ko kok ck ck k ck ck ko ko ck ko k ck k k ko k RR 


*kckckck ck kk kk Ak kk*k*k* 


ok: [localhost] => { 
"msg": "System localhost has gateway 192.168.50.1" 


通过 参数 var 定 义 需 要 打印 的 变量 
变量 可 以 是 系统 变量 ， 也 可 以 是 动态 的 执行 结果 ， 通 过 关键 字 fegester 注 入 到 变量 
中 o 


e 打印 系统 的 变量 


- name: Display all variables/facts known for a host 
debug: 
var: hostvars[inventory hostname]["ansible default ipv4" 
]["gateway"] 


TASK [Display part of variables/facts known for a host] ****** 


*ockckck ck kk k ko kk kkkk*k*k* 


ok: [localhost] => { 
"hostvars[inventory_hostname][\"ansible_default_ipv4\"][\" 
gateway\"]": "192.168.50.1" 


} 


e 打印 动态 注入 的 变量 


- shell: /usr/bin/uptime 
register: result 


- debug: 
var: result 


TASK [ command ] *okockckckckck ckoko kok ckock ck ck ko ko ko k ck ck kk ko ck ko ck ck k k ck ck k k kk kk kk kk kk*k*kk* 


*ockckckck kk kk kk kkk*k*k*k* 


changed: [localhost] 


TASK [debug] *kCkckck kokokokockock ck ck ko ko kok ck ck ck k ko ck kok ck ck ko ck k ck k kk kk kk kk kk kk Ak k*k*kt* 


*ockckck ck kk ck k kk kkkk*k*k* 


ok: [localhost] => { 
"result": { 
"changed": true, 


"cmd": "/usr/bin/uptime", 
"delta": "0:00:00.003212", 
"end": "2017-01-01 21:30:02.817443", 


sy) (ss RON 

"start": "2017-01-01 21:30:02.814231", 
EStdorpis cs 

"stdout": " 21:30:02 up 12:38, 8 users, 


11321 dd ep 
"stdout lines": [ 


load average 


" 21:30:02 up 12:38, 8 users, load average: 1.13 


Pope epu 
], 


"warnings": [] 


copy 


从 当前 的 机 器 上 Copy 静态 文件 到 远程 节点 上 ， 并 且 设 置 合理 的 文件 权限 。 注 意 ， 
copy module 找 贝 文件 的 时 候 ， 会 先 比较 下 文件 的 checksum， 如 果 相 同 则 不 会 捞 


贝 ， 返 回 状 态 OK ; 如 果 不 同 才 会 描 贝 ， 返 回 状态 为 changed 。 


设置 文件 权限 


利用 mode 设 置 权限 可 以 是 用 数字 ， 当 然 也 可 以 是 符号 的 形 
A"u-rw,gzr,ozr"fe"u*rw,g-wx,o-rwx" 


- copy: 
src: /srv/myfiles/foo.conf 
dest: /etc/foo.conf 
owner: foo 
group: foo 
mode: 0644 


备份 结 点 上 原来 的 文件 


backup 参 数 为 yes 的 时 候 ， 如 果 发 生 了 拷贝 操作 ， 那 么 会 先 备份 下 目标 节点 山 的 原 
文件 。 当 两 个 文件 相同 时 ， 不 会 进行 拷贝 操作 ， 当 然 也 没有 必要 备份 啦 。 


- copy: 
src: sudoers 
dest: /tmp 
backup: yes 


拷贝 后 的 验证 操作 


validate 参 数 接 需 要 验证 的 命令 。 一 般 需 要 验证 拷贝 后 的 文件 ， 所 以 %s 可 以 指 代 拷 
贝 后 的 文件 。 当 copy module 中 加 入 了 validate 参 数 ， 不 仅 需 要 成 功 拷贝 文件 ， 还 需 
要 validate 命 令 返 回 成 功 的 状态 ， 整 个 module 的 执行 状态 才 是 成 功 。 


visudo -cf /etc/sudoers 是 验证 sudoers 文 件 有 没有 语法 错误 的 命令 。 
- copy: 
src: /mine/sudoers 


dest: /etc/sudoers 
validate: 'visudo -cf %s' 


template 


如 果 你 需要 拷贝 一 个 静态 的 文件 ， 那 么 用 copy module 就 够 用 了 。 但 是 如 果 你 需要 
拷贝 一 个 文件 ， 并 且 根 据 需 要 部 分 内 容 ， 那 么 就 需要 用 到 template module 啦 。 


比如 安装 apache 后 ， 你 需要 给 节点 拷贝 一 个 测试 页 面 index.html,index.html 里 面 需 
要 显示 当前 节点 的 主机 名 和 |P, 这 时 候 就 需要 用 到 template 。 


index.html 中 ， 你 需要 指定 你 想 蔡 换 的 哪个 部 分 ， 那 么 这 个 部 分 用 变量 来 表示 ， 
template 使 用 的 是 python 的 j2 模 版 引擎 ， 你 不 需要 了 解 什么 是 j2， 你 只 需要 知道 表 量 
的 表示 法 是 {{}} 就 可 以 了 。 


template 文 件 语法 


index.html 具 体 应 该 怎么 写 呢 ， 既 然 是 tamplate 文 件 ， 那 么 我 们 就 加 一 个 后 缀 提高 可 
读 性 ，index.html.j2。 下 面 文件 中 使 用 了 两 个 变量 ansible_hostname 和 
ansible_default_ipv4.address ° 


«html» 
<title>Demo</title> 
<body> 
«div class="block" style="height: 99%; "> 
<div class="centered"> 
<hi>#46 Demo</h1i> 
<p>Served by {{ ansible hostname }} ({{ ansible default 
ipv4.address }}).</p> 
</div> 
</div> 
</body> 
</html> 


f& Fl facts € € “template 


在 index.html.j2 使 用 的 两 个 变量 ansible_hostname 和 ansible_ default ipv4.address 
都 是 facts 变 量 ，ansible 会 蔡 我 们 搜索 ， 直 接 可 以 在 playbook 中 使 用 ， 当 然 也 可 以 直 
接 在 template 中 使 用 。 所 以 我 们 在 写 template 语 名 中 无 需 传 入 参数 。 


- name: Write the default index.html file 
template: src-templates/index.html.j2 dest-/var/www/html/index 
.html 


使 用 普通 变量 的 template 
拷贝 httpd.conf.j2 拷 贝 到 远程 节点 ， 根 据 需 求 设置 默认 的 http 端 口 ， 这 时 我 们 就 需要 
用 到 普通 的 变量 。 


在 httpd.conf.j2 模 版 文件 中 ， 所 有 变量 的 是 用 方法 都 是 一 样 的 ， 都 是 是 用 {{}} : 
ServerRoot "/etc/httpd" 


Listen {{ http_port }} 


普通 变量 不 是 在 调用 template 的 时 候 传 进去 ， 而 是 通过 playbook 中 vars 关 键 字 定 
义 。 当 然 如 果 在 playbook 中 可 以 直接 使 用 的 变量 ， 都 可 以 在 template 中 ， 包 括 后 面 
的 章节 会 提 到 的 定义 在 inventory 中 的 变量 。 


- hosts: localhost 
vars: 
http_port: 8080 
remote_user: root 
tasks: 


- name: Write the configuration file 


template: src=templates/httpd.conf.j2 dest=/etc/httpd/conf/h 
ttpd.conf 


4° copy module 一 样 强大 的 功能 


当然 copy module 不 仅 可 以 简单 的 拷贝 文件 到 远程 节点 ， 还 可 以 进行 权限 设置 ， 文 
件 备份 ， 以 及 验证 功能 ， 那 么 这 些 功 能 ，template 同 样 具备 。 


- template: 
src: etc/ssh/sshd config.j2 
dest: /etc/ssh/sshd config.j2 
owner: root 
group: root 
mode: '0600' 
validate: /usr/sbin/sshd -t %s 
backup: yes 


file 


file module 设 置 远程 值 机 上 的 文件 、 软 链接 (symlinks) 和 文件 夹 的 权限 ， 也 可 以 
用 来 创建 和 删除 他 们 © 


改变 文件 的 权限 


当然 mode 参 数 可 以 直接 赋值 数字 权限 (必须 以 0 开头 ) ， 也 可 以 赋值 ， 还 可 以 用 来 
增加 和 删除 权限 。 具 体 的 写法 见 下 面 的 代码 : 


- file: 
path: /etc/foo.conf 
owner: foo 
group: foo 
mode: 0644 
#mode: "u=rw, g=r,o=r" 
#mode: "u-*rw,g-wx,o-rwx" 


创建 文件 的 软 链接 


注意 这 里 面 的 Src 和 sest 参 数 的 含义 是 和 copy module 不 一 样 的 ，file module 里 面 所 
操作 的 文件 都 是 远程 节点 上 的 文件 。 


- file: 
src: /file/to/link/to 
dest: /path/to/symlink 
owner: foo 
group: foo 
state: link 


创建 一 个 新 文件 
像 touch 命 令 一 样 创 建 一 个 新 文件 


- file: 
path: /etc/foo.conf 
state: touch 
mode: "u-rw,g-r,o-r" 


创建 新 的 文件 夹 


# create a directory if it doesn't exist 
- file: 

path: /etc/some_directory 

state: directory 

mode: 0755 


user 
user module 可 以 增 、 删 、 改 Linux 远 程 节 点 的 用 户 账户 ， 并 为 其 设置 账户 的 属性 。 
增加 账户 


e. 增加 账户 johnd， 并 且 设 置 uid 为 1040， 设 置 用 户 的 primary group 为 admin 


- user: 
name: johnd 
comment: "John Doe" 
uid: 1040 
group: admin 


e 创建 账户 james， 并 为 james 用 户 额外 添加 两 个 group 


- user: 
name: james 
shell: /bin/bash 
groups: admins, developers 
append: yes 


删除 账户 
删除 账户 johnd 


- user: 
name: johnd 
state: absent 
remove: yes 


修改 账户 的 属性 
e 为 账户 jsmith 撞 见 一 个 2048-bit 的 SSH key > # #~jsmith/.ssh/id_rsa 


- user: 
name: jsmith 
generate_ssh_key: yes 
ssh_key_bits: 2048 
ssh_key_file: .ssh/id_rsa 


e 为 用 户 添加 过 期 时 间 : 


- user: 
name: jamesi8 
shell: /bin/zsh 
groups: developers 
expires: 1422403387 


yum 


yum module 是 用 来 管理 red hat & €) Linux E 8 € é, 83 > @4&RHEL > CentOS > Fe 
fedora 21 一 下 的 版 本 。fedora 从 版 本 22 开 始 就 使 用 dnf， 推 荐 使 用 dnf module # 3€ 
行 安装 包 的 操作 。 


从 yum 源 上 安装 和 删除 包 
e 安装 最 新 版 本 的 包 ， 如 果 已 经 安装 了 老 版 本 ， 那 么 会 更 新 到 最 新 的 版 本 : 


- name: install the latest version of Apache 
yum: 
name: httpd 
state: latest 


e 安装 指定 版 本 的 包 


- name: install one specific version of Apache 
yum: 
name: httpd-2.2.29-1.4.amzn1 
state: present 


e. 删除 httpd 包 


- name: remove the Apache package 
yum: 
name: httpd 
state: absent 


e 从 指定 的 repo testing 中 安装 包 


- name: install the latest version of Apache from the testin 
g repo 
yum: 
name: httpd 
enablerepo: testing 
state: present 


从 yum 源 上 安装 一 组 包 


- name: install the 'Development tools' package group 
yum: 
name: "@Development tools" 
state: present 


- name: install the 'Gnome desktop' environment group 
yum: 
name: "Q^gnome-desktop-environment" 
state: present 


从 本 地 文件 中 安装 包 


- name: install nginx rpm from a local file 
yum: 
name: /usr/local/src/nginx-release-centos-6-0.e16.ngx.noarch 
.rpm 
state: present 


从 URL 中 安装 包 


- name: install the nginx rpm from a remote repo 
yum: 
name: http://nginx.org/packages/centos/6/noarch/RPMS/nginx-r 
elease-centos-6-0.el6.ngx.noarch.rpm 
state: present 


service 


管理 远程 节点 上 的 服务 ， 什 么 是 服务 呢 ， 比 如 httpd、sshd、nfs、crond 等 。 
Jo Xo SHR. EAR 
e 开 httpd 服 务 


- service: 
name: httpd 
state: started 


e 关 服 务 


- service: 
name: httpd 
state: stopped 


e 重 起 服务 


- service: 
name: httpd 
state: restarted 


e ERR 


- service: 
name: httpd 
state: reloaded 


设置 开机 尼 动 的 服务 


- service: 
name: httpd 
enabled: yes 


司 动 网 络 服务 下 的 接口 


- service: 
name: network 
state: restarted 
args: ethO 


firewalld 


firewalld module 为 某 服 务 和 端口 添加 firewalld 规 则 。firewalld 中 有 正在 运行 的 规 
则 ， 和 永久 的 规则 ，firewalld module 都 支持 。 


firewalld 要 求 远 程 节 点 上 的 firewalld 版 本 在 0.2.11 以 上 。 
为 服务 添加 firewalld 规 则 


- firewalld: 
service: https 
permanent: true 
state: enabled 


- firewalld: 
zone: dmz 
service: http 
permanent: true 
state: enabled 


为 端口 号 添加 firewalld 规 则 


- firewalld: 
port: 8081/tcp 
permanent: true 
state: disabled 


- firewalld: 
port: 161-162/udp 
permanent: true 
state: enabled 


其 它 复杂 的 firewalld 规 则 


- firewalld: 

rich rule: 'rule service name-"ftp" audit limit value="1/m" 
accept' 

permanent: true 

state: enabled 


- firewalld: 
source: 192.0.2.0/24 
zone: internal 
state: enabled 


- firewalld: 
zone: trusted 
interface: eth2 
permanent: true 
state: enabled 


- firewalld: 
masquerade: yes 
state: enabled 
permanent: true 
zone: dmz 


shell 
通过 /bin/sh 在 远程 节点 上 执行 命令 。 如 果 一 个 操作 你 可 以 通过 Module yum ， copy 
操作 实现 ， 那 么 你 不 要 使 用 shell 或 者 command 这 样 通用 的 命令 module。 因 为 通用 


的 命令 module 不 会 根据 具体 操作 的 特点 进行 status 的 判断 ， 所 以 当 没 有 必要 再 重新 
执行 的 时 候 ， 它 还 是 要 重新 执行 一 遍 。 


支持 $home， 支 持 $SHOME 和 "<", ">", "|", "5" and 
"e" o 


e 支持 $home 


- Name: test $home 
shell: echo "Testi" > —/tmp/test1 


。 支持 && 


- shell: service jboss start && chkconfig jboss on 


e 支持 >> 


- shell: echo foo >> /tmp/testfoo 


调用 脚本 
e 调用 脚本 


- shell: somescript.sh >> somelog.txt 


e 执行 命令 前 ， 改 变 工作 目录 
- shell: somescript.sh >> somelog.txt 


args: 
chdir: somedir/ 


e 在 执行 命令 钱 改 变 工作 目录 ， 并 且 在 文件 Somelog.txt 不 存在 时 执行 命令 。 


- shell: somescript.sh >> somelog.txt 
args: 
chdir: somedir/ 
creates: somelog.txt 


- shell: cat < /tmp/\*txt 
args: 
executable: /bin/bash 


Command 


在 远程 节点 上 执行 命令 。 和 Shell Module 4A > Hit A X44$HOME and operations 
like "en T ass s and "a" o 


#2 Shell — 4€ 


。 像 Shell 一 样 调用 单条 命令 


- command: /sbin/shutdown -t now 


e 和 Shell 一 样 ， 可 以 在 执行 命令 钱 改 变 目 录 ， 并 检查 文件 database 不 存在 时 再 执 
行 


- command: /usr/bin/make_database.sh arg1 arg2 
args: 
chdir: somedir/ 
creates: /path/to/database 


和 Shell 不 一 样 


。 与 Shell 不 同 ， 多 了 一 个 传 参 方式 : 


- command: /usr/bin/make database.sh arg1 arg2 creates-/path 
/to/database 


e 不 支持 && 和 >> 
下 面 的 写法 ， 没 有 办 法 创建 ~/tmp/test3 和 ~/tmpy/test4 的 
- name: test $home 


command: echo "test3" > ~/tmp/test3 && echo "test4" > ~/tm 
p/test4 


Ansible 进 Fr 


深入 介绍 一 下 几 个 主题 


e Ansible 的 配置 

e Ansible 的 主机 目录 管理 (Host Inventory) 
e Ansible Playbook 的 进 阶 语法 

e 配置 Extra Modules 


ansible 的 配置 


可 以 配置 什么 ? 


从 基本 的 ， 主 机 目录 文件 "inventory"，extra module 放 置 路 径 "library" ， 远 程 主机 的 
临时 文件 位 置 " remote_tmp" ， 管 理 节点 上 临时 文件 的 位 置 "local_tmp" 


inventory = /etc/ansible/hosts 
library = /usr/share/my_modules/ 
remote_tmp = $HOME/.ansible/tmp 
local_tmp = $HOME/.ansible/tmp 


到 高 级 的 ， 连 接 端口 号 "accelerate_port"， 超 时 时 间 等 。 


accelerate_port = 5099 
accelerate_timeout = 30 
accelerate_connect_timeout = 5.0 


看 一 个 完整 的 anbile 配 置 文件 例子 ， 就 能 基本 了 解 到 ansible 都 能 配置 什么 
https:VVraw.githubusercontent.comVansibleVansibleVdevelVexamplesVansible.cfg 
对 ansible 配 置 文件 里 面 的 关键 字 不 能 完整 理解 ， 还 可 以 参考 关键 词 解释 列表 : 


http: VVdocs.ansible.comVansibleVintro_configuration.html#explanation-of-values- 
by-section 


anbile 配 置 文件 的 优先 级 


ansible 的 默认 配置 文件 是 VetcVansibleVansible.cfg。 其 实 ansible 会 按照 下 面 的 顺序 
查找 配置 文件 ， 并 使 用 第 一 个 发 现 的 配置 文件 。 


* ANSIBLE_CONFIG (an environment variable) 
* ansible.cfg (in the current directory) 

* ,ansible.cfg (in the home directory) 

* /etc/ansible/ansible.cfg 


Ansible1.5 以 前 的 版 本 顺序 为 : 


* ansible.cfg (in the current directory) 

* ANSIBLE CONFIG (an environment variable) 
* ,ansible.cfg (in the home directory) 

* /etc/ansible/ansible.cfg 


主机 目录 (Host Inventory) 


什么 叫 主 机 目录 管理 ,告诉 ansible 需 要 管理 哪些 server， 和 server 的 分 类 和 分 组 信 
息 。 可 以 根据 你 自己 的 需要 根据 地 域 分 类 ， 也 可 以 按照 功能 的 不 同 分 类 。 


主机 目录 的 配置 文件 


默认 文件 


/etc/ansible/hosts 


修改 主机 目录 的 配置 文件 


/etc/ansible/ansible.cfg 


inventory = /etc/ansible/hosts 


命令 行 中 传递 主机 目录 配置 文件 


i=) 
-已 


$ ansible-playbook -i hosts site.yml 


或 者 参数 --inventory-file 


$ ansible-playbook --inventory-file hosts site.yml 


远程 主机 的 分 组 
简单 的 分 组 [] 内 是 组 名 
mail.example.com 


[webservers ] 
foo.example.com 
bar.example.com 


[dbservers] 
one.example.com 
two.example.com 
three.example.com 


[webservers] 
www[01:50].example.com 


[databases] 
db-[a:f].example.com 


分 组 usa 的 子 组 还 可 以 是 其 它 的 组 ,例如 [usa:children] 中 还 可 以 子 组 southeast， 
[southeast:children] 中 还 可 以 包含 atlanta 和 releigh 


[atlanta] 
host1 
host2 


[raleigh] 
host2 
host3 


[southeast:children] 
atlanta 
raleigh 


[usa:children] 
southeast 
northeast 
southwest 
northwest 


参数 
指定 Server 的 连接 参数 ， 其 中 包括 连接 方法 ， 用 户 等 。 
[targets] 


localhost ansible connection-local 
other1.example.com ansible connection-ssh ansible use 
r=mpdehaan 

other2.example.com ansible connection-ssh ansible use 
r=mdehaan 


[atlanta] 
hosti http_port=80 maxRequestsPerChild=808 
host2 http_port=303 maxRequestsPerChild=909 


所 有 可 以 指定 的 参数 在 文档 中 
http://docs.ansible.com/ansible/intro_inventory.html#list-of-behavioral-inventory- 
parameters 


[atlanta] 
host1 
host2 


[atlanta:vars] 
ntp server-ntp.atlanta.example.com 
proxy-proxy.atlanta.example.com 


远程 主机 的 连接 参数 和 


ap 2 


x € 


47 


按 目 录 结 构 存储 变量 


假设 inventory 文 件 为 /etc/ansible/hosts， 那 么 相关 的 hosts 和 group 变 量 可 以 放 在 下 
面 的 目录 结构 下 


/etc/ansible/group_vars/raleigh # can optionally end in '.yml', 
'.yaml', or '.json' 

/etc/ansible/group vars/webservers 

/etc/ansible/host vars/foosball 


letc/ansible/group vars/raleigh 文件 内 容 可 以 为 


ntp_server: acme.example.org 
database_server: storage.example.org 


如 果 对 应 的 名 字 为 目录 名 ，ansible 会 读 取 这 个 目录 下 面 所 有 文件 的 内 容 


/etc/ansible/group_vars/raleigh/db_settings 
/etc/ansible/group_vars/raleigh/cluster_settings 


group_vars/ 和 host_vars/ 目录 可 放 在 inventory 目录 下 ,或 是 playbook 目录 下 . 如 
果 两 个 目录 下 都 存在 ,那么 playbook 目录 下 的 配置 会 覆盖 inventory 目录 的 配置 . 


Playbook 


YML 


ansible 的 脚本 语言 ，yaml 格 式 。 请 参考 YAML 语 法 结构 章 


别人 的 Playbook 


能 够 学 会 快速 用 别人 的 成 果 ， 高 效 地 分 享 自己 的 成 果 ， 才 是 好 码 农 ， 才 是 能 早 下 班 
的 好 码 农 。 在 你 动手 从 头 开 始 写 一 个 Playbook 之 前 ， 不 如 先 参 考 一 下 别人 的 成 果 
re, o 
官方 例子 
Ansible 官 方 提供 了 一 些 比较 常用 的 、 经 过 测试 的 Playbook 例 子 : 


https: VVgithub.comVansibleVansible-examples 


Playbook? X + 4 


此 外 ，Ansible 还 提供 了 Playbook 的 分 享 平 台 ， 上 面 的 例子 是 Ansible 用 户 自 己 上 传 
的 。 你 如 果 在 没有 思路 的 情况 下 参考 下 吧 ， 不 过 一 定 要 再 重新 严谨 的 测试 下 。 


https:VVgalaxy.ansible.comV 


Playbook 基 本 语法 


本 节 列 举 了 写 第 一 个 Playbook， 你 必须 了 解 基 本 语法 。 


随 着 你 面临 的 机 器 越 多 ， 配 置 的 需求 越 复杂 ， 你 可 能 需要 了 解 后 面 
复杂 逻辑 的 语句 。 


执行 Playbook 语 法 


$ ansible-playbook deploy.yml 


查看 输出 的 细节 


ansible-playbook playbook.yml  --verbose 
查看 该 脚本 影响 哪些 hosts 

ansible-playbook playbook.yml --list-hosts 
并 行 执 行 脚本 


ansible-playbook playbook.yml -f 10 


完整 的 playbook 有 和 脚本 示例 
最 基本 的 playbook 脚 本 分 为 三 个 部 分 : 
1. 在 什么 机 器 上 以 什么 身份 执行 


o hosts 
o USers 


Bas 
2. 执行 的 任务 是 都 有 什么 


o tasks 
3. 善后 的 任务 都 有 什么 


o handlers 


deploy.yml x fF 


- hosts: webservers 
vars: 
http port: 80 
max clients: 200 
user: root 
tasks: 
- name: ensure apache is at the latest version 
yum: pkg-httpd state-latest 
- name: write the apache config file 
template: src-/srv/httpd.j2 dest-/etc/httpd.conf 
notify: 
- restart apache 
- name: ensure apache is running 
service: name-httpd state-started 
handlers: 
- name: restart apache 
service: name-httpd state-restarted 


主机 和 用 户 


key 含义 
hosts 为 主机 的 IP， 或 者 主机 组 名 ， 或 者 关键 字 all 
user 在 远程 以 哪个 用 户 身份 执行 。 
become 切换 成 其 它 用 户 身 份 执 行 ， 值 为 yes 或 者 no 


与 became 一 起 用 ， 指 可 以 
become RU og 7j'sudo'/'su'/'pbrun'/pfexec'/'doas' 

become user 与 bacome_User 一 起 用 ， 可 以 是 root 或 者 其 它 用 户 名 
脚本 里 用 became 的 时 候 ， 执 行 的 playbook 的 时 候 可 以 加 参数 --ask-become-pass 


ansible-playbook deploy.yml --ask-become-pass 


Tasks 任 务 列表 


e tasks 是 从 上 到 下 顺序 执行 ， 如 果 中 间 发 生 错 误 ， 那 么 整个 playbook 会 中 止 。 你 
可 以 改修 文件 后 ， 再 重新 执行 。 

e 每 一 个 task 的 对 module 的 一 次 调用 。 使 用 不 : 的 参数 和 变量 而 已 。 

e 每 一 个 task 最 好 有 name 属 性 ， 这 个 是 供 人 读 的 ， 没 有 实际 的 操作 。 然 后 会 在 命 
令 行 里 面 输出 ， 提 示 用 户 执行 情况 。 


语法 
task 的 基本 写法 
tasks: 


- name: make sure apache is running 
service: name=httpd state=running 


其 中 name 是 可 选 的 ， 也 可 以 简写 成 下 面 的 例子 。 


tasks: 


- service: name=httpd state=running 


写 name 的 task 在 playbook 执 行 时 ， 示 对 应 的 名 字 ， 信 息 更 友好 、 丰 富 。 写 
name 是 个 好 习惯 ! 


TASK: [make sure apache is running | *kckckck ko ko kock kock kck k k ck k kk kkkkk*k*k*k* 


。 ckck ko ko ko ko ck ck ko ck k ck ko kc k kk kk kk kk kk*k*k* 


changed: [yourhost] 


没有 写 name 的 task 在 playbook 执 行 时 ， 直 接 显示 对 应 的 task 语 法 。 在 调用 同样 的 
module 多 次 后 ， 不 同意 分 辨 执行 到 哪 步 了 。 


TASK: [service name=httpd state=running] tt ee EDIT 


KKKEKKKKKKKKKEKKK 


changed: [yourhost ] 


参数 的 不 同 写 法 
最 上 的 代码 展示 了 最 基本 的 传 入 module 的 参数 的 方法 key=value 


tasks: 
- name: make sure apache is running 
service: name=httpd state=running 


当 需 要 传 入 参数 列表 太 长 时 ， 可 以 分 隔 到 多 行 : 


tasks: 
- name: Copy ansible inventory file to client 
copy: src=/etc/ansible/hosts dest=/etc/ansible/hosts 
owner=root group=root mode=0644 


或 者 用 yml 的 字典 传 入 参数 


tasks: 
- name: Copy ansible inventory file to client 
copy: 
src: /etc/ansible/hosts 
dest: /etc/ansible/hosts 
Owner: root 
group: root 
mode: 0644 


TASK 的 执行 状态 


task 中 每 个 action 会 调用 一 个 module， 在 module 中 会 去 检查 当前 系统 状态 是 否 需要 
重新 执行 。 


e 如 果 本 次 执行 了 ， 那 么 action 会 得 到 返回 值 changed; 
e 如 果 不 需要 执行 ， 那 么 action 得 到 返回 值 ok 


module 的 执行 状态 的 具体 判断 规则 由 各 个 module 自 己 决定 和 实现 的 。 例 如 ，"copy" 
module 的 判断 方法 是 比较 文件 的 checksum， 代 码 如 下 


https: VVgithub.comVansibleVansible-modules-coreVblobVdevel\VfilesVcopy.py 
状态 AT 4] 
以 一 个 copy 文 件 的 task 为 例子 : 


tasks: 
- name: Copy the /etc/hosts 
copy: src=/etc/hosts dest=/etc/hosts 


第 一 次 执行 , 它 的 结果 是 这 个 样子 的 : 


TASK 的 状态 是 changed 


[jshi@jshi demoansible]$ ansible-playbook copy hosts.yml 


LAY xk ok ook ook oco ok okc oc 2 fe ok ok oc oc okcococ oc okc occ oc oc oc oco oc ocococ oc oc oc oc oc oc oco oco ococoxc oc oco ooo o ook ox ooo ox o oco ook oo ooo ooo 


ASK [setup] HE HE HC EO DHE DE HE DHE CC CC pl: lf: lf: f fÉÁ f fff RC DHE OC ff fff fff fff df df ^f ^ff CC OC OE OC COC oe AKC oC AKE oe Co oe 


ASK [Copy the /etc/hosts] Ak HE I oco EC CC CC oco occ oc ok oco oco oco oco oco occ oco oco oco ococ coc coc ococ oc FHE AKC AK AHE AKC AKC HKK 


PLAY RECAP 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 求 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 玉 
unreachable-0 failed=0 
unreachable-0 failed=0 
unreachable=0 failed=0 





第 二 次 执行 是 下 面 这 个 样子 的 : 


TASK 的 状态 是 ok, 由 于 第 一 次 执行 copy_hosts.yml 的 时 候 ,已 经 找 贝 过 文件 ,那么 
ansible 目 标 文件 的 状态 避免 重复 执行 . 


[jshi@jshi demoansible]$ ansible-playbook copy_hosts.yml 


PLAY xk A I OE EC HE DHE DC ok oco oco DHE DHE oc oco oco oco ocok oco DHC HC DC oc ocococ oc OC DHE o oco CoC DHE oc oc DHE DHE DHE DEC C DHC DC OC DHE OC oc oc oco oco ocococ oc oc oc 2 oc AKC oe AKC ok 


AC D 
ASK [setup] Kok oc okc oc okc oc oc okcokc oc ok oco oco ook oco oco coc oe oc oc OC OC oco oc oe oco oc ok ok oc ok oc ok oco oco oco oco coco oc oc oc oc ok oc oc ok oco oco 


ASK [Copy the /etc/hosts] xk ok oko ok okc oko of fe a ok okc ok ok okc ok oko o oko ok ok ok ok ok ok ok ok oc oc ok oc ok ok o ok ox ok o o ox o oc o ok of 2 of ok 


DLAY RECAP HE HE HE HE EE OE E OE EE OE OE oof fe EE Of OE EE OE EE OE Of EE OE oO EE Ef OEE lf: OE OE OE Of fC OE OE OE OF EE OE OE KK OE OE OE K K 
changed=0 unreachable=0 failed=0 
changed=0 unreachable=0 failed=0 
changed=0 unreachable=0 failed=0 





下 面 我 更 改 vm-rhel7-1 的 VetcVhosts, 再 次 执行 看 看 : 


e-playbook copy hosts.yml 


xk ok ok ok ok ok ok oc ok ok okc ok ok oc ok ok ok ok ok ok ok oc ok ok oc ok oc oc ok ok oc ok oc ok ok ok ok ok ok ok ok oc ok o oc ok oc oc ok oco ok oc ok ok oc ok ok OE oc oc ok ok oc ok oc ok ok oc oko oc oo 


tup] ok ok okc ok okc ok ok ok ok ok ok ok ok ok ok ok ok ok ok ok ok oc ok ok oc ok ok o ok ok o ok ok ok ok ok ok ok oc ok oc oc ok ok oc ok ok oc ok o oc ok ok oc ok oc oc ok oc ok ok oc ok o oc oo 


/etc/ 1 1 xk ok ok oko oko ok ook ok ok oco ook ok oc oco ox ok ok ox ok o oo ok ok oc ok o oc ok ox oo o ox ok ok CO 2 EO oe 
/ 已 / x > 


m-rhel7-1] 


HE ok ok ok ok AK KE ok ok oo ok oo K ook o K AK o« K o K K K OK oo ooo o o o o o o AKE o K AK oo o« oo o o K K o o o oo o o oe OK K KE K OK KOKOK OK K 
hanged=1 unreachable=0 failed-0 
changed=0 unreachable failed=0 
changed=0 unreachable failed=0 





响应 事件 Handler 


a 
fF ^ z= handler? 
每 个 主流 的 编程 语言 都 会 有 event 机 制 ， 那 么 handler 就 是 playbook 的 event 。 


Handlers €. ® &j 4 — ^-handler > 4, Æ xf module —:X 345] » handlers tasks 7 
同 ，tasks 会 默认 的 按 定 义 顺 序 执行 每 一 个 task，handlers 则 不 会 ， 它 需要 在 tasks 中 
被 调用 ， 才 有 可 能 被 执行 。 


Tasks 中 的 任务 都 是 有 状态 的 ，changed 或 者 ok。 在 Ansible 中 ， 只 在 task 的 执行 状 
态 为 changed 的 时 候 ， 才 会 执行 该 task 调 用 的 handler， 这 也 是 handler 与 普通 的 
event 机 制 不 同 的 地 方 。 


应 用 场景 


什么 情况 下 使 用 handlers 呢 ? 


如 果 你 在 tasks 中 修改 了 apache 的 配置 文件 。 需 要 重 起 apache。 此 外 还 安装 了 
apache 的 插件 。 那 么 还 需要 重 起 apache。 像 这 样 的 应 该 场景 中 ， 重 起 apache 就 可 
以 设计 成 一 个 handler 


— ^-handler  £ X dift —:X 


在 所 有 的 任务 里 表 执行 之 后 执行 ， 如 果 有 多 个 task notify IF] — ^ handler, 7f Z A 3.43 
一 次 o 
在 下 面 的 例子 里 apache 只 执行 一 次 


https://github.com/ansible-book/ansible-first-book- 
examples/blob/master/handlers_state.yml 


- hosts: lb 
remote user: root 
vars: 
random numberi: "{{ 10000 | random }}" 
random number2: "{{ 10000000000 | random }}" 

tasks: 

- name: Copy the /etc/hosts to /tmp/hosts.{{ random numberi }} 
copy: src-/etc/hosts dest=/tmp/hosts.{{ random numberi }} 
notify: 

- call in every action 

- name: Copy the /etc/hosts to /tmp/hosts.{{ random number2 }} 
copy: src-/etc/hosts dest=/tmp/hosts.{{ random number2 }} 
notify: 

- call in every action 


handlers: 
- name: call in every action 
debug: msg-"call in every action, but execute only one time" 


action= Changed , 才 会 执行 handler 


只 有 当 TASKS 种 的 action 的 执行 状态 是 changed 时 ， 才 会 触发 notify handler 的 执 


下 面 的 脚本 执行 两 次 ,执行 结果 是 不 同 的 : 


e. 第 一 次 执行 是 ，tasks 的 状态 都 是 changed， 会 触发 两 个 handler 


o 第 一 个 task 的 状态 是 OK， 那 么 不 会 触发 handlers"call by /tmp/hosts", 
o 第 二 个 task 的 状态 是 changed， 触 发 了 handler"call by 
/tmp/hosts.random_number" 


测试 代码 见 : 


https://github.com/shijingjing1221/ansible-first-book- 
examples/blob/master/handlers_execution_time.yml 


- hosts: lb 
remote user: root 
vars: 
random number: "{{ 10000 | random }}" 
tasks: 
- name: Copy the /etc/hosts to /tmp/hosts 
copy: src-/etc/hosts dest-/tmp/hosts 
notify: 
- call by /tmp/hosts 
- name: Copy the /etc/hosts to /tmp/hosts.{{ random number }} 
copy: src-/etc/hosts dest=/tmp/hosts.{{ random number }} 
notify: 
- call by /tmp/hosts.random number 


handlers: 
- name: call by /tmp/hosts 
debug: msg="call first time" 
- name: call by /tmp/hosts.random number 
debug: msg-"call by /tmp/hosts.random number" 


izHandler& Æ SUR A 3UfT 
handlers 是 按照 在 handlers 中 定义 个 顺序 执行 的 ， 而 不 是 安装 notify 的 顺序 执行 的 。 


下 面 的 例子 定义 的 顺序 是 1>2>3，notify 的 顺序 是 3>2>1， 实 际 执行 顺序 : 1>2>3. 


- hosts: lb 

remote user: root 

gather facts: no 

vars: 

random numberi: "{{ 10000 | random }}" 
random number2: "{{ 10000000000 | random }}" 

tasks: 

- name: Copy the /etc/hosts to /tmp/hosts.{{ random numberi }} 
copy: src-/etc/hosts dest=/tmp/hosts.{{ random numberi }} 
notify: 

- define the 3nd handler 

- name: Copy the /etc/hosts to /tmp/hosts.{{ random number2 }} 
copy: src-/etc/hosts dest=/tmp/hosts.{{ random number2 }} 
notify: 

- define the 2nd handler 
- define the ind handler 


handlers: 
- name: define the ind handler 

debug: msg="define the ind handler" 
- name: define the 2nd handler 

debug: msg="define the 2nd handler" 
- name: define the 3nd handler 

debug: msg="define the 3nd handler" 


定义 
使 用 YAML 格 式 定义 


foo: 
fieldi: one 
field2: two 


I.E 
使 用 变量 
使 用 Python 的 template 语 言 Jinja2 的 语法 引用 


foo['field1'] 
foo.fieldi 


: 利用 中 括号 和 点 号 来 访问 子 属 性 


Playbook 中 使 用 的 变量 
在 Playbook 中 使 用 ， 需 要 用 {{ 站 引用 以 来 即 可 : 


- hosts: webservers 
vars: 


apache_config: labs.conf 
tasks: 


- name: deploy haproxy config 


template: src={{ apache_config }} dest=/etc/httpd/conf.d 
/{{ apache config }} 


在 Playbook 中 使 用 变量 文件 定义 变量 


- hosts: webservers 
vars_files: 
- vars/server_vars.yml 
tasks: 


- name: deploy haproxy config 


template: src={{ apache_config }} dest=/etc/httpd/conf.d 
/{{ apache_config }} 


变量 文件 vars/server_vars.yml 的 内 容 为 : 


apache_config: labs.conf 


YAML #5 I SE 


YAML 的 陷阱 是 YAML 和 Ansible Playbook 的 变量 语法 不 能 在 一 起 好 好 工作 了 。 这 里 
特 指 冒 号 后 面 的 值 不 能 以 "开头 。 


下 面 的 代码 会 报错 : 


- hosts: app_servers 
vars: 
app_path: {{ base_path }}/22 


解决 办 法 BA A 3] 9: 


- hosts: app_servers 
vars: 
app_path: "{{ base_path }}/22" 


主机 的 系统 变量 (facts) 


ansible 会 通过 module setup 来 收集 主机 的 系统 信息 ， 这 些 收集 到 的 系统 信息 叫做 
facts， 这 些 facts 信 息 可 以 直接 以 变量 的 形式 使 用 。 


哪些 facts 变 量 可 以 引用 呢 ? 在 命令 行 上 通过 调用 setup module 命 令 可 以 查看 


$ ansible all -m setup -u root 


怎样 在 playbook 中 使 用 facts 变 量 呢 ， 答 案 是 直接 使 用 : 


- hosts: all 
user: root 
tasks: 
- name: echo system 
shell: echo {{ ansible os family }} 
- name install ntp on Debian linux 
apt: name-git state-installed 
when: ansible os family -- "Debian" 
- name install ntp on redhat linux 
yum: name-git state-present 
when: ansible os family -- "RedHat" 


使 用 复杂 facts 交 量 


一 般 在 系统 中 收集 到 如 下 的 信息 ， 复 杂 的 、 多 层级 的 facts 变 量 如 何 使 用 呢 ? 


"ansible ens3": ( 
"active": true, 
"device": "ens3", 
"jpv4": { 
"address": "10.66.192.234", 
"netmask": "255.255.254.0", 
"network": "10.66.192.0" 


tr 
"ipv6": [ 
{ 
"address": "2620:52:0:42c0:5054:ff:fef2:e2a3 
"prefix": "64", 
"scope": "global" 
tr 
{ 
"address": "fe80::5054:ff:fef2:e2a3", 
"orefix": "64", 
"Scope": "link" 
} 
]， 


"macaddress": "52:54:00:f2:e2:a3", 
"module": "8139cp", 
"mtu": 1500, 
"promisc": false, 
"type": "ether" 
ty 


那么 可 以 通过 下 面 的 两 种 方式 访问 复杂 的 变量 中 的 子 属性 : 


中 括号 : 


{{ ansible ens3["ipv4"]["address"] }} 


{{ ansible_ens3.ipv4.address }} 


关闭 facts 


在 Playbook 中 ,如 果 写 gather facts 来 控制 是 否 收集 远程 系统 的 信息 .如 果 不 收集 系统 
言 息 , 那 么 上 面 的 变量 就 不 能 在 该 playybook 中 使 用 了 . 


- hosts: whatever 
gather_facts: no 


把 运行 结果 当做 变量 使 用 -注册 变量 


把 task 的 执行 结果 当 作 是 一 个 变量 的 值 也 是 可 以 的 。 这 个 时 候 就 需要 用 到 注册 变 
量 ， 将 执行 结果 注册 到 一 个 变量 中 ， 待 后 面 的 action 使 用 : 


- hosts: web 
tasks: 
- shell: ls 
register: result 


ignore_errors : True 


- shell: echo "{{ result.stdout }}" 
when: result.rc == 


- debug: msg="{{ result.stdout }}" 


文件 模板 中 使 用 的 变量 


文件 模板 即 template。Ansible 使 用 的 文件 是 python 的 一 个 j2 的 模板 。 


template 变 量 的 定义 
在 playbook 中 定义 的 变量 ， 可 以 直接 在 template 中 使 用 。 


下 面 的 playbook 脚 本 中 使 用 了 template module 来 拷贝 文件 index.html.j2， 并 且 替 换 
了 index.html.j2 中 的 变量 为 playbook 中 定义 变量 值 。 


- hosts: web 


vars: 


http_port: 80 
defined_name: "Hello My name is Jingjng" 


remote_user: root 


tasks: 


name: ensure apache is at the latest version 
yum: pkg=httpd state=latest 


name: Write the configuration file 
template: src=templates/httpd.conf.j2 dest=/etc/httpd/conf/h 


ttpd.conf 


dex. 


notify: 
- restart apache 


name: Write the default index.html file 
template: src-templates/index2.html.j2 dest-/var/www/html/in 
html 


name: ensure apache is running 

service: name-httpd state-started 

name: insert firewalld rule for httpd 

firewalld: port-(( http port }}/tcp permanent-true state=ena 


bled immediate-yes 


handlers: 


- name: restart apache 
service: name-httpd state-restarted 


template È x 49 1% M 


在 template index.html.j2 中 可 以 直接 使 用 系统 变量 和 用 户 自 定义 的 变量 


e AAR € {{ ansible_hostname }} , (( ansible default ipv4.address }} 


e 用 户 自 定义 的 变量 {{ defined name }} 


index.html.j2 文 件 : 


<html> 
<title>#46 Demo</title> 


«I1-- 
http://stackoverflow.com/questions/22223270/vertically-and-horiz 
ontally-center-a-div-with-css 
http://css-tricks.com/centering-in-the-unknown/ 
http://jsfiddle.net/6PaXB/ 

> 


<style>.block {text-align: center;margin-bottom:10px;}.block: bef 
ore {content: '';display: inline-block;height: 100%;vertical-ali 
gn: middle;margin-right: -0.25em;}.centered (display: inline-blo 
ck;vertical-align: middle;width: 300px;}</style> 


«body» 
«div class="block" style="height: 99%; "> 
<div class="centered"> 
<hi>#46 Demo {{ defined_name }}</h1> 
<p>Served by {{ ansible hostname }} ({{ ansible default 
ipv4.address }}).</p> 
</div> 
</div> 
</body> 
</html> 


在 release.yml 文 件 里 ，hosts 和 User 都 定义 为 变量 ， 需 要 从 命令 行 传递 变量 值 。 


= hosts: '{{ hosts }}' 
remote user: '{{ user }}' 


tasks: 


在 命令 行 里 面 传 值得 的 方法 : 


ansible-playbook e33_var_in_command.yml --extra-vars "hosts=web 
user=root" 


还 可 以 用 json 格 式 传递 参数 : 


ansible-playbook e33 var in command.yml --extra-vars "{'hosts':' 
vm-rhel7-1', ‘user':'root'}" 


还 可 以 将 参数 放 在 文件 里 面 : 


ansible-playbook e33_var_in_command.yml --extra-vars "@vars.json 
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e when: Aff Fl BTiS a > RMT ie iv f 
e loop: 循环 语句 ， 类 似 于 编程 语言 的 中 的 while 
e block : 把 几 个 tasks 组 成 一 块 代码 ， 便 于 针对 一 组 操作 的 异常 处 理 等 操作 。 


条 件 语 4] When 


类 似 于 编程 语言 的 计 f 


When: 47 


有 时 候 用 户 有 可 能 需 满 足 特 定 条 件 才 执行 茶 一 个 特定 的 步 


系统 上 装 包 ， 


Ansible 上 ， 使 用 when 语句 都 非常 简单 . 


主机 为 Debian Linux 立 刻 关 机 


tasks: 


name: "shutdown Debian flavored systems" 


command: /sbin/shutdown -t now 
when: ansible os family == "Debian" 


根据 action 的 执行 结果 ， 来 决定 接 下 来 执行 的 action » 


tasks: 


command: /bin/false 

register: result 

ignore_errors: True 

command: /bin/something 

when: result | failed 

command: /bin/something_else 

when: result|success 

command: /bin/still/something else 
when: result|skipped 


远程 中 的 系统 变量 facts 变 量 作 为 when 的 条 件 ， 用 "|int 还 


。 在 某 一 个 特定 版 本 的 


NAR EBLE UE mie uus eee 


可 以 转换 返回 值 的 类 型 : 


- hosts: web 


tasks: 
- debug: msg="only on Red Hat 7, derivatives, and later" 
when: ansible os family == "RedHat" and ansible lsb.major 


release|int >= 6 


ARIK AK 


vars: 
epic: true 


BAR 
tasks: 
- shell: echo "This certainly is epic!" 
when: epic 
否定 款 : 
tasks: 


- shell: echo "This certainly isn't epic!" 
when: not epic 


- shell: echo "I've got '{{ foo }}' and am not afraid to use 
doe 


when: foo is defined 


- fail: msg-"Bailing out. this play requires 'bar'" 
when: bar is not defined 


数值 表达 款 


tasks: 
- command: echo {{ item }} 
with_items: [ 0, 2, 4, 6, 8, 10 ] 
when: item > 5 


与 Include 一 起 用 


- include: tasks/sometasks.yml 
when: "'reticulating splines' in output" 


与 Role 一 起 用 


- hosts: webservers 
roles: 
- { role: debian stock config, when: ansible os family == ' 
Debian' } 


Loop#i% 


标准 循环 
为 了 保持 简洁 ,重复 的 任务 可 以 用 以 下 简写 的 方式 : 


- name: add several users 
user: name={{ item }} state=present groups=wheel 
with_items: 
- testuseri 
- testuser2 


如 果 你 在 变量 文件 中 或 者 vars’ 区 域 定 义 了 一 组 YAML 列 表 , 你 也 可 以 这 样 做 : 


vars: 
somelist: ["testuseri", "testuser2"] 


tasks: 
-name: add several user 
user: name={{ item }} state=present groups=wheel 


with_items: "{{somelist}}" 


使 用 ‘with items’ 用 于 和 迭代 的 条 目 类 型 不 仅仅 支持 简单 的 字符 串 列表 .如 果 你 有 一 个 
哈 希 列表 ,那么 你 可 以 用 以 下 方式 来 引用 子 项 : 


- name: add several users 
user: name={{ item.name }} state=present groups={{ item.groups 


}} 

with_items: 
- { name: 'testuseri1', groups: 'wheel' } 
- { name: 'testuser2', groups: 'root' } 


注意 : 如 果 同 时 使 用 when fe with items (或 其 它 循环 声明 ) , when 声明 会 为 每 
个 条 目 单独 执行 .请 参见 the_when_statement 示例 . 


ake BA 
fA ALT VRE: 


- name: give users access to multiple databases 
mysql_user: name={{ item[0] }} priv={{ item[1] }}.*:ALL append 
_privs=yes password=foo 
with_nested: 
- [ 'alice', 'bob' ] 
- [ 'clientdb', 'employeedb', 'providerd'] 


或 者 


- name: give users access to multiple databases 
mysql user: name={{ item.O }} priv={{ item.1 }}.*:ALL append p 
rivs=yes password=foo 
with_nested: 
- [ 'alice', 'bob' ] 
- [ 'clientdb', 'employeedb', 'providerd'] 


对 哈 布 表 使 用 循环 


vars: 
alice: 
name: Alice Appleworth 
telephone: 123-456-7890 
bob: 
name: Bob Bananarama 
telephone: 987-654-3210 
tasks: 
- name: Print phone records 
debug: msg="User {{ item.key }} is {{ item.value.name }} ({{ 
item.value.telephone }})" 
with_dict: "{{users}}" 


对 文件 列表 使 用 循环 


with_fileglob 可 以 以 非 递归 的 方式 来 模式 匹配 单个 目录 中 的 文件 .如 下 面 所 示 : 


tasks: 


# first ensure our target directory exists 
- file: dest=/etc/fooapp state=directory 


# copy each file over that matches the given pattern 
copy: src={{ item }} dest=/etc/fooapp/ owner=root mode=600 
with_fileglob: 

- /playbooks/files/fooapp/* 


Block 块 


多 个 action 组 装 成 块 ， 可 以 根据 不 同 条 件 执行 一 段 语句 : 


tasks: 
- block: 
- yum: name={{ item }} state=installed 
with_items: 

- httpd 
- memcached 

- template: src=templates/src.j2 dest=/etc/foo.conf 

- service: name=bar state=started enabled=True 

when: ansible distribution == 'CentOS' 


become: true 
become_user: root 


组 装 成 块 处 理 异 常 更 方便 : 


tasks: 
- block: 
- debug: msg-'i execute normally' 
- command: /bin/false 
- debug: msg-'i never execute, cause ERROR! ' 
rescue: 
- debug: msg='I caught an error' 
- command: /bin/false 
- debug: msg='I also never execute :-(' 
always: 
- debug: msg="this always executes" 


重用 Playbook 


不 能 站 在 巨人 的 肩膀 上 的 编程 语言 不 是 好 语言 ， 支 持 重 用 机 制 会 节省 调研 重复 的 工 
作 上 浪费 大 量 的 时 间 ， 当 然 也 会 提高 可 维护 性 。 

Playbook 的 支持 两 种 重用 机 制 ， 一 种 是 简单 的 直接 重新 利用 静态 的 Playbook 脚 本 ， 
例外 一 种 是 类 似 于 编程 语言 中 函数 的 机 制 。 


e includei& 4] - 重用 静态 的 Playbook 脚 本 ， 使 用 起 来 简单 、 直 接 。 
e role 语 言 - Playbook 的 “函数 机 制 "， 使 用 方法 稍 复杂 、 功 能 强大 。 是 Playbook 
脚本 的 共享 平台 ansible galaxy 主 要 的 分 享 方式 。 


Include: 47 


Include 语 句 的 功能 ， 基 本 的 代码 重用 机 制 。 主 要 重用 tasks。 同 时 Include 可 将 tasks 
分 割 成 多 个 文件 ， 避 免 Playbook 过 于 腑 肿 ， 使 用 户 更 关注 于 整体 的 架构 ， 而 不 是 实 
现 的 细节 上 。 


普通 用 法 
BH EIS à My IncludeiS 4] —7# > ii d£Include : 


# possibly saved as tasks/firewall_httpd_default.yml 
- name: insert firewalld rule for httpd 


firewalld: port=80/tcp permanent-true state=enabled immediat 
e=yes 


main.yml 文 件 中 调用 include 的 方法 : 


tasks: 
- include: tasks/firewall_httpd_default.yml 


高 级 用 法 -使 用 参数 


include x tF F a *[ VA x LER 


iK include) x t-tasks/firewall httpd default.yml'P > #7 {{ port )) 定义 了 一 
个 名 字 为 port 的 参数 。 


- name: insert firewalld rule for httpd 
firewalld: port={{ port }}/tcp permanent-true state=enabled 
immediate=yes 


传 参数 的 各 种 方法 
e 在 执行 的 playbook 传 参数 ， 可 以 加 在 行 尾 ， 使 用 空格 分 隔 : 


tasks: 
- include: tasks/firewall.yml port=80 
- include: tasks/firewall.yml port=3260 
- include: tasks/firewall.yml port-423 


e 还 可 以 使 用 yml 的 字典 传 参数 : 
tasks: 


- include: wordpress. yml 
vars: 
wp_user: timmy 
ssh_keys: 
- keys/one.txt 
- keys/two.txt 


e. 还 可 以 把 一 条 task 简 写成 成 一 个 类 JSON 的 形式 传 参数 : 
tasks: 


- { include: wordpress.yml, wp user: timmy, ssh keys: [ 'ke 
ys/one.txt', 'keys/two.txt' ] } 


e 当然 在 playbook 中 已 经 定义 了 的 参数 ， 就 不 需要 再 显示 传 入 值 了 ， 可 以 直接 写 
成 下 面 的 : 


- hosts: lb 
vars: 
port: 3206 


remote_user: root 
tasks: 
- include: tasks/firewall.yml 


includei& 4] 48 X 449 Jp 3€ x 
e 在 handlers 里 面 加 include 


handlers 中 加 入 include 语 和 句 的 语法 如 下 : 


handlers: 
- include: handlers/handlers.yml 


然而 为 什么 有 一 处 文档 里 面 写 可 以 调用 。 文 档 下 面 两 个 地 方 提 到 include 里 面 的 
handlers， 但 是 两 处 是 矛盾 的 : 


o hander 的 文档 写 不 能 调用 
http://docs.ansible.com/ansible/playbooks_intro.html 
o _ include 的 文档 写 能 调用 
http://docs.ansible.com/ansible/playbooks_roles.html#task-include-files- 
and-encouraging-reuse 
通过 下 面 的 例子 实测 后 ， 基 于 ansible1.9 是 不 能 调用 include 里 面 的 handler 的 ， 
不 过 基于 ansible2.0+ 是 可 以 调用 include 里 面 的 handler 的 。 所 以 在 使 用 的 时 候 
注意 你 安装 的 ansible 版 本 。 


o hosts: Ib user: root gather facts: no vars: 


random number: "" 


tasks: 
= name: Copy the /etc/hosts to /tmp/hosts. copy: src=/etc/hosts 
dest-/tmp/hosts. notify: 
= restart apache 
= restart apache in handlers 


handlers: 
- include: handlers/handlers.yml 
- name: restart apache 
debug: msg="This is the handler restart apache" 


* Ansib1le 人 允许 的 全 局 (A# plays) 加 include 


然而 这 种 使 用 方式 并 不 推荐 ， 首 先 它 不 支持 齿 入 incLude， 而 且 很 多 plLaybook 的 参 
数 也 不 可 以 使 用 。 


e name: this is a play at the top level of a file hosts: all remote_user: root 


tasks: 


o name: say hi tags: foo shell: echo "hi..." 


全 局 include > 2.4 "| playbook include 


e include: load balancers.yml 
e include: webservers.yml 
e include: dbservers.yml `` 


e 为 了 使 include 功 能 更 强大 ， 在 每 个 新 出 的 ansible 都 会 添加 新 的 一 些 功能 ， 例 如 
在 2.0 中 添加 了 include 动 态 名 字 的 yml， 然 而 这 样 的 用 法 有 很 多 的 限制 ， 不 够 成 
熟 ， 可 能 在 更 新 的 ansible 又 去 掉 了 ， 学 习 和 维护 成 本 很 高 。 所 以 需要 使 用 更 灵 
活 的 重用 机 制 时 ， 建 议 用 下 一 节 介绍 的 role © 


Role - Playbook* “Package” 


Role 比 include 更 强大 灵活 的 代码 重用 和 分 享 机 制 。|nclude 类 似 于 编程 语言 中 的 
include， 是 重用 单个 文件 的 ， 重 用 的 功能 有 限 。 


而 Role 类 似 于 编程 语言 中 的 “Package”， 可 以 重用 一 组 文件 形成 完整 的 功能 。 例 如 
安装 和 配置 apache， 需 要 tasks 实 现 安装 包 和 找 贝 模版 等 ，httpd.conf 和 index.html 
的 模版 文件 ， 和 handler 文 件 实现 重 起 功能 。 这 些 文件 都 可 以 放 在 一 个 role 里 面 ， 供 
不 同 的 playbook 文 件 重用 。 


Ansible 非 常 提倡 在 playbook 中 使 用 role， 并 且 提 供 了 一 个 分 享 role 的 平台 Ansible 
Galaxy, https://galaxy.ansible.com/, 在 galaxy 上 可 以 找到 别人 号 好 的 role。 在 后 面 
的 章节 中 ， 我 们 再 详细 介绍 如 果 使 用 它 。 


定义 role 完 整 的 目录 结构 


在 ansible 中 ,通过 遵循 特定 的 目录 结构 ,就 可 以 实现 对 role 的 定义 。。 具 体 遵 循 的 目 
录 结 构 是 什么 呢 ? 看 下 面 的 例子 : 


下 面 的 目录 结构 定义 了 一 个 role : 名 字 为 myrole。 在 site.yml， 调 用 了 这 个 role。 


role 的 目录 结构 site.yml 中 调用 role 


site. yml 
roles/ 
I— myrole 
— tasks 
L— main.yml 
I— handlers 
L— main.yml 
I— defaults 
| L— main.yml 


上 一 vars 
a F - hosts: webservers 
| L— main.yml 


roles: 
[- ues - myrole 
I — templates 
— README. md 


— meta 
| L— main.yml 
L— tests 


| 一 inventory 
L— test.yml 


ansible 并 不 要 求 role 包 含 上 述 所 有 的 目录 及 文件 ， 根 据 role 的 功能 需要 加 入 对 应 的 
目录 和 文件 。 下 面 是 每 个 目录 和 文件 的 功能 。 


e 如 果 roles/x/tasks/main.yml 存在 , 其 中 列 出 的 tasks 将 被 添加 到 play 中 ， 所 以 
这 个 文件 也 可 以 视 作 role 的 入 口 文件 ， 想 看 role 做 了 什么 操作 ， 可 以 从 此 文件 看 
起 。 

e 如 果 roles/x/handlers/main.yml 存在 , 其 中 列 出 的 handlers 将 被 添加 到 play 中 

e 如 果 roles/x/vars/main.yml 存在 , 其 中 列 出 的 variables 将 被 添加 到 play 中 

e 如 果 roles/x/meta/main.yml 存在 , 其 中 列 出 的 “角色 依赖 ” 将 被 添加 到 roles 列 
表 中 

e roles/x/tasks/main.yml 中 所 有 tasks， 可 以 引用 roles/x/ffiles,templates,tasks} 中 
的 文件 ， 不 需要 指明 文件 的 路 径 。 


你 自己 在 写 role 的 时 候 ， 一 般 都 要 包含 role 入 口 文件 roles/x/tasks/main.yml， 其 它 的 
文件 和 目录 ， 可 以 根据 需求 选择 加 入 。 


学 会 写 一 个 完整 功能 的 role 是 一 个 想 对 复杂 的 过 程 ， 也 是 ansible 中 稍 高 级 的 使 用 方 
法 。 在 本 小 节 ， 我 们 重点 介绍 如 何 使 用 别人 已 经 写 好 的 role。 在 后 面 的 章节 中 ， 我 
们 会 通过 具体 的 示例 来 逐步 介绍 写 role 的 所 需 的 知识 。 


带 参 数 的 Role 


参数 在 role 中 是 如 何 定 义 的 呢 
定义 一 个 带 参 数 的 role, 名 字 是 myrole, 那 么 目录 结构 为 


main.yml 
roles 
role with var 
tasks 
main.yml 


在 roles/myrole/tasks/main.yml 中 ,使 用 {{ 3) 定义 的 变量 就 可 以 了 


- name: use param 
debug: msg="{{ param }}" 


使 用 带 参 数 的 role 


那么 在 main.yml 就 可 以 用 如 下 的 方法 使 用 myrole 


- hosts: webservers 
roles: 
- { role: myrole, param: 'Call some role for the ist time' } 
- ( role: myrole, param: 'Call some role for the 2nd time' } 


或 者 写成 yml 字 典 格式 : 


- hosts: webservers 
roles: 
- role: myrole 
param: 'Call some_role for the ist time' 
- role: myrole 
param: 'Call some_role for the 2nd time' 


role 指 定 上 默认 的 参数 


指定 默认 参数 后 ,如 果 在 调用 时 传 参数 了 ,那么 就 使 用 传 入 的 参数 值 .如 果 调 用 的 时 候 
没有 传 参数 ,那么 就 使 用 默认 的 参数 值 . 


旨 定 默认 参数 很 简单 ,以 上 面 的 role_with_var 为 例 


main. ym1 
roles: 
myrole 
tasks 
main. ym1 
defaults 
main. ym1 


在 roles/myrole/defaults/main.yml 中 ,使 用 yml 的 字典 定义 语法 定义 param 的 值 ,如 下 : 


param: "I am the default value" 


这 样 在 main.yml 中 ,下 面 两 种 调用 方法 都 可 以 


- hosts: webservers 
roles: 
- role_with_var 
- { role: role_with_var, param: 'I am the value from externa 


l' 3 


更 多 的 例子 在 https://github.com/shijingjing1221/ansible-first-book- 
examples/blob/master/role_vars.yml 中 


role 与 条 件 语 如 When 一 起 执行 


下 面 的 例子 中 ,my_role 只 有 在 RedHat 系 列 的 server 上 才 执行 。 


- hosts: webservers 
roles: 
- { role: my role, when: "ansible os family == 'RedHat'" } 


同样 也 可 以 写成 yml 字 典 格 式 


- hosts: webservers 
roles: 
- role: my_role 
when: "ansible os family == 'RedHat'" 


roles 和 tasks 的 执行 顺序 


如 果 一 个 playbook 同 时 出 现 role 和 tasks， 他 们 的 调用 顺序 是 什么 样 的 呢 ? 


先 揭晓 答案 ， 在 根据 实例 来 验证 : 


pre_tasks > role > tasks > post tasks 


- hosts: lb 
user: root 


pre_tasks: 
- name: pre 
shell: echo 'hello' 


roles: 
- { role: some role } 


tasks: 
- name: task 
shell: echo 'still busy' 


post tasks: 
- name: post 
shell: echo 'goodbye' 


PLAY [1b] *AkCkckckckockockockck ck ko kck ck ko ckock ck ko ck ck ko ko kck k ck ck ck ko ck ck ko ck ck ck k ck kk kk kk kk kkkkk*kk*k 


*kckckck kk kk kk kk*k*k* 


TASK [setup] ck ckockockckckock ok ckokock ck ck ck ko ko kok ck ck k ck ko ko kock ck ko ck ko ck k ko kk k ck kk kk kk kk k*k*k*k* 


*okckckc kk kk kk Ak kk*k*kt* 


ok: [rhel7u3] 


TASK [pre] i ck ckokockock kck ck oko kok ck ck kck ko ko kok ck ck k ck ko k ck ckock KEKE ck ck k ko kk kk kk kk kkk*k* 


*okckck ck ck kk kk kk*k*k*k* 


changed: [rhel7u3] 


TASK [some role : some role] *okockockockckck ko ko ko ok ck ck ck kock ko ck kck k ck kk kk kk kk kk kk 


*ckckckck kk kk kk k*k*k*kt* 


ok: [rhel7u3] => { 
"msg": "Im some role" 


TASK [task] *kckockockckockck oko kockock k ck kock kock ckck k ck kock ko ck kck ko ck ck ck ck k k ck ck kk kk kk kk kk kkk*k* 


*ckckckck kk k Ak kk kk*kt*kt* 


changed: [rhel7u3] 


TASK [post] *okockockockckockock ok ckockock ck ck kock ko ck ckck ko ck ko k ck ck ck ck ko ck ck k ck k k ck kk kc kk kk kk kk kkk*k* 


大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 


changed: [rhel7u3] 


PLAY RECAP bE kock kck ko ko kock ck ck kck ko ko ko ok ck ck kok k ck ck kock k k ck k kk kk kk kk kk kk*k*kk* 


大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 


rhel7u3 : Ok=5 changed=3 unreachable=0 
failed=0 


用 tags 实 现 执行 playbook 中 部 分 tasks 


如 果 playbook 文 件 比 较 大 ， 在 执行 的 时 候 只 是 想 执行 部 分 功能 ， 这 个 时 候 没有 有 解 
RA RR ? Playbook 提 供 了 tags 变 迁 可 以 实现 部 分 运行 。 


tags 的 基本 用 法 


例如 ， 文 件 example.yml 如 何 所 示 ， 标 记 了 两 个 tag : packages 和 configuration 


tasks: 


- yum: name={{ item }} state=installed 
with_items: 
- httpd 
tags: 
- packages 


- name: copy httpd.conf 
template: src=templates/httpd.conf.j2 dest=/etc/httpd/conf/h 
ttpd.conf 
tags: 
- configuration 


- name: copy index.html 
template: src-templates/index.html.j2 dest-/var/www/html/ind 
ex.html 


tags: 
- configuration 


么 我 们 在 执行 的 时 候 ， 如 果 不 加 任何 tag 参 数 ， 那 么 会 执行 所 有 的 tasks 
ansible-playbook example. yml 


e 指定 执行 安装 部 分 的 tasks， 则 可 以 利用 关键 字 tags 


ansible-playbook example.yml --tags "packages" 


e 指定 不 执行 packages 部 分 的 task， 则 可 以 利用 关键 字 Sskip-tags 


ansible-playbook example.yml --skip-tags "configuration" 


特殊 的 Tags 


e “always” 


tags 的 名 字 是 用 户 自 定义 的 ， 但 是 如 果 你 把 tags 的 名 字 定 义 为 “always”， 那 么 
就 有 点 特别 了 。 只 要 在 执行 playbook 时 ， 没 有 明确 指定 不 执行 always tag > 7 
么 它 就 会 被 执行 。 


在 下 面 的 例子 中 ， 即 使 你 只 指定 执行 packages， 那 么 always 也 会 被 执行 。 


tasks: 


- debug: msg="Always print this debug message" 
tags: 
- always 


- yum: name= state=installed 
with_items: 
- httpd 
tags: 
- packages 


- template: src=templates/httpd.conf.j2 dest=/etc/httpd/co 
nf/httpd. conf 


tags: 
- configuration 


指定 运行 packages 时 ， 还 是 会 执行 always tag 对 应 的 tasks 


ansible-playbook tags_always.yml --tags "packages" 


e “tagged” > “untagged” $= “all” 
tasks: 


- debug: msg="I am not tagged" 
tags: 
- tag1 


- debug: msg="I am not tagged" 
4r $48 X --tags 7) "tagged" » “untagged” Fe “all iX FARE : 


ansible-playbook tags tagged untagged all.yml --tags tagged 


ansible-playbook tags tagged untagged all.yml --tags untagge 
d 


ansible-playbook tags tagged untagged all.yml --tags all 


在 include 中 和 role 中 使 用 tags 
include 语 名 指定 执行 的 tags 的 语法 : 


- include: foo.yml 
tags: [web, foo] 


调用 role 中 的 tags 的 语法 为 : 


roles: 


- { role: webserver, port: 5000, tags: [ 'web', 'foo' ] } 


更 多 的 Ansible 模 块 


e 介绍 两 类 Modules : Core Module 和 Extra module 
e Extra module 的 配置 和 使 用 方法 
e 通过 命令 行 查看 modules 的 用 法 


Modules 的 分 类 


你 Ansible Module 文 档 上 查看 单个 Module 的 时 候 ,每 一 个 Module 文 档 的 底部 都 会 标 
只 , 这 是 一 个 "Core Module", 或 者 这 是 一 个 "Extra Module". 


比如 , yum 就 是 一 个 core module, yum_repository 就 是 一 个 extra module, 


Core Module 


e 不 需要 格外 下 载 和 配置 ， 安 装 ansible 后 就 可 以 直接 使 用 的 . 
e 比较 常用 的 module 
@ 经 过 严格 测 TA 8j. 


Extra module 


e 进行 下 载 和 格外 的 配置 才能 使 用 
e 次 常用 的 


e 还 有 可 能 存在 bug 的 


Extra module 的 使 用 方法 
使 用 Exra module 需 要 进行 下 面 的 配置 ， 就 可 以 在 命令 行 或 者 是 playbook 中 使 用 
了 。 配 置 后 extra module 使 用 方法 和 core module 的 使 用 方法 是 一 样 的 。 


[ 注 ]Ansible 2.3 以 后 ，Extra module 的 使 用 就 和 core module 一 样 了 ， 无 需 任何 额外 
的 配置 ， 直 接 在 playbook 和 命令 行 中 使 用 。 其 实 Ansible 团 队 会 一 直 致 力 于 把 成 熟 的 
长 期 使 用 没有 问题 的 Module 放 入 Core Module 中 ， 方 便 客户 的 使 用 。 所 以 当 你 的 
Playbok 运 行 报错 是 没有 相应 的 module 时 ， 你 只 要 心中 有 数 可 能 出 现 问题 的 地 方 和 
解决 方案 就 可 以 。 


1 T &ansible module extra 项 目 


git clone https://github.com/ansible/ansible-modules-extras.git 


我 的 一 下 在 /home/jshi/software/ 目 录 下 了 ， 后 面 会 用 到 这 个 目录 。 
2 修改 配置 文件 或 者 环境 变量 
方法 1 - 改 ansible 黑 认 配 置 文件 /etc/ansible/ansible.cfg 


修改 ansible 配 置 文件 /etc/ansible/ansible.cfg, 添加 一 行 


library = /home/jshi/software/ansible-modules-extras/ 


方法 2 - 改 ansible 当 前 目录 下 配置 文件 ansible.cfg 


改 ansible playbook 当 前 的 目录 下 的 配置 文件 ansible.cfg， 那 么 只 对 当前 目录 的 
playbook 生 效 。 对 所 有 其 它 目 录 ， 包 括 父 目录 和 子 目 录 的 playbook 都 不 生效 。 


library/ansible-modules-extras 

ansible.cfg 

use extra module.yml 
subfolder/use extra module will throw error.yml 


在 当前 目录 的 ansible.cfg 中 ， 可 以 使 用 相对 路 径 : 


library = library/ansible-modules-extras/ 


方法 3 - 该 环境 变量 


export ANSIBLE_LIBRARY=/project/demo/demoansible/library/ansible 
-module-extras 


如 果 需 要 在 重启 后 生效 ， 那 么 放 在 ~/.bashrc 中 声明 ANSIBLE_LIBRARY 变 量 : 


$ echo »»-/.bashrc <<EOF 


export ANSIBLE LIBRARY-/project/demo/demoansible/library/ansible 
-module-extras 


EOF 


$ source -/.bashrc 


d» 


行 查 看 module 的 用 法 


类 似 bash 命 令 的 man，ansible 也 可 以 通过 命令 行 查 看 module 的 用 法 。 
ansible-doc， 语 法 如 下 : 


ansible-doc module_name 
core module 可 以 在 任何 目录 下 执行 。 例 如 查看 yum 的 用 法 : 
ansible-doc yum 


extra module 4: 7 # it & T extra module 的 目录 下 查看 用 法 (行为 当前 目录 下 的 
playbook 是 一 致 的 ): 


ansible-doc yum_repository 


最 佳 使 用 方法 


e 鼓励 文件 的 重用 ， 尽 量 使 用 include 和 role 避 免 重 复 的 代码 。 
e 尽量 把 大 的 文件 分 成 小 的 文件 


https://github.com/ansible/ansible-examples 


production # inventory file for production server 
S 
staging # inventory file for staging environme 
nt 


group_vars/ 


groupi 4 here we assign variables to particul 
ar groups 

group2 Jb 
host vars/ 

hostname1 # if systems need specific variables, 
put them here 

hostname2 go 
library/ # if any custom modules, put them here 

(optional) 

filter plugins/ # if any custom filter plugins, put th 


em here (optional) 


site.yml # master playbook 
webservers.yml # playbook for webserver tier 
dbservers.yml # playbook for dbserver tier 
roles/ 
common/ # this hierarchy represents a "role" 
tasks/ # 
main. ym1 # <-- tasks file can include smaller 


files if warranted 
handlers/ # 
main. ym1 # <-- handlers file 


templates/ 


resource 
ntp.conf.j2 
files/ 
bar.txt 
ource 
foo.sh 


cript resource 
vars/ 
main.yml 
role 
defaults/ 
main.yml 
s for this role 
meta/ 
main.yml 


webtier/ 


dk 


# 


same 


files for use with the template 


---- templates end in .j2 


files for use with the copy res 


script files for use with the s 


variables associated with this 


default lower priority variable 


role dependencies 


kind of structure as "common" w 


as above, done for the webtier role 


monitoring/ 
fooapp/ 


# 
# 


We 3 LA 4 poe yp 
HE RA Tt At 


推荐 的 参考 资料 


Ansible 美 文 视频 教程 : https://sysadmincasts.com/episodes/43-19-minutes-with- 
ansible-part-1-4 


本 书 中 所 有 playbook 的 例子 都 在 github 上 : 
https://github.com/shijingjing1221/ansible-first-book-examples/ 
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YAML 语 法 基础 


文件 开始 符 


数组 List 


- elementi 
- element2 
- element3 


数组 中 的 每 个 元 素 都 是 以 - 开始 的 。 
字典 (Hash or Directory) 
key: value 


key 和 value 已 冒号 加 空格 分 隔 。 


复杂 的 字典 
PRERE 


# An employee record 
martin: 
name: Martin D'vloper 
job: Developer 
skill: Elite 


ER ELE OH Hy tk BE 


- martin: 
name: Martin D'vloper 


job: Developer 
skills: 

- python 

- perl 

- pascal 


- tabitha: 
name: Tabitha Bitumen 


job: Developer 
skills: 

- lisp 

- fortran 

- erlang 


注意 的 地 方 
变量 里 有 : 要 加 引号 


foo: "somebody said I should put a colon here: so I did" 


变量 的 引用 要 加 引号 


foo: "{{ variable }}" 


参考 资料 
https://en.wikipedia.org/wiki/YAML 


http://www.yamllint.com/ 


待 续 


Ansible Tower 简介 


https://www.ansible.com/tower 


编写 自己 的 Ansible module 


